关注网络安全

网络安全为人民   网络安全靠人民

陇东学院网络安全事件应急处理预案
发布人:  郭超发布日期:  2019-09-05 21:04

第一章 总 则

第一条 编制目的

根据《甘肃省教育系统网络安全事件应急预案》(甘教技﹝201914),为加强我校网络信息安全,提高各单位和个人的网络安全防范意识,规范对网络安全漏洞的处理,提高我校处置网络与信息安全突发公共事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络安全事件造成的危害,维护学校正常的教学、科研和管理秩序,促进网络与信息安全建设,特制订本预案。

第二条 编制依据

根据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《突发事件应急预案管理办法》《国家网络安全事件应急预案》《教育系统网络与信息安全类突发公共事件应急预案》《甘肃省教育系统网络安全事件应急预案》《信息安全事件分类分级指南》(GB/Z20986-2007)《信息技术安全事件报告与处理流程》。

第三条 适用范围

本预案适用于陇东学院网络信息系统、网站上的网络安全隐患修复工作及发生在陇东学院校园网上的突发性事件应急工作。按照《国家网络安全事件应急预案》规定,网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,具体分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。

1.有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件。如系统感染勒索病毒、网站被上传 Webshell、系统被渗透或控制等。

2.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件,网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。如系统遭 DDOS 攻击、SQL 注入攻击、尝试爆破密码等。

3.信息破坏事件分为信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件。如发现网络上存在与系统数据高度雷同的数据,或发现业务数据被篡改。

4.信息内容安全事件是指通过网絡发布、传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。如网站被悬挂反动标识,或有人在网站互动区发布非法内容等。

5.设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障。如服务器硬件故障,机房供电中断等

6.灾害性事件是指由于自然灾害等其他突发事件导致的网络安全事件。如机房遭遇地震、火灾等。

7.其他事件是指不能归为以上分类的网络安全事件。

第四条 工作原则

1.统一领导、统一指挥、整体作战

学校网络安全和信息化领导小组同时也是学校网络安全事件应急处置工作组,负责我校网络安全事件应急处置工作,建立健全处置网络安全类突发公共事件的快速反应机制,确保预警、发现、报告、指挥、处置等环节的紧密衔接,做到快速反应,正确应对,果断处置,防止事态升级和蔓延扩大。同时成立网络安全应急处置专家咨询组,提高应急保障能力。

学校网络安全和信息化领导小组统一领导和协调,督促相关部门协同配合、具体实施,完善应急工作体系和机制,最大限度地避免学校及师生员工遭受损失。

2.各司其职,明确责任

按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强学校学院间、部门间、学院与部门间的协调与配合,共同履行网络安全事件应急处置工作的管理职责。

3.防范为主,加强监控

坚持事件处置和预防工作相结合,宣传普及网络安全防范知识,贯彻预防为主的思想,树立常备不懈的观念,做好应对网络安全突发事件的思想准备、预案准备、机制准备和工作准备,从法律、管理、技术、人才等方面,采取多种措施,提高公共防范意识以及网络安全综合保障水平。加强对网络安全隐患的日常监测,发现和防范重大网络安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。

4.加强保障,重在建设

加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络安全事件应急处置的快速化、科学化、规范化。

第二章 组织机构和职责任务

第五条 组织机构

1.学校网络安全和信息化领导小组同时作为网络安全事件应急处置工作组

2.网络安全应急处置咨询专家组

由党委宣传部、网络安全与信息化中心负责组织成立网络安全应急处置咨询专家组。

第六条 工作职责

1.工作组主要职责

1)统一指挥学校网络安全事件的预防和处置。

2)组织网络安全事件预警演练和培训。指导学校各个二级部门建立预警监控和防控机制,并定期检查信息安全工作。

3)收集和统计网络系统安全漏洞信息,适时向上级部门汇报。

4)指导有关单位及部门处置突发性网络安全事件,协助有关部门采取有效措施妥善处置、消除漏洞。

5)研究确定网络安全事件性质、类型和级别,下达应急处置任务。

6)督查事发单位或相关部门开展应急处置和善后恢复工作。

7)组织评估重大网络安全事件所产生的损失与相关的处置情况。

2.专家组的主要职责:

1)在出现重大网络安全事件时提供处置指导意见。

2)在处置完重大网络安全事件后对事件的后果与损失、事件处置情况进行评估指导。

3)对所提出的网络安全应急响应技术、系统、具体方案、建议等进行评估,并提出推广建议。

4)在网络安全应急处置演练中对演练预案提出指导意见,对演练结果提出评价意见。

5)在网络安全应急处置人员培训方面发挥作用。

第三章 网络安全事件处置方法

第七条 事件监测与预警

学校网络安全事件应急处置工作组要预先建设网络安全事件预警预报体系开展事件调查,编制事件防治规划,建设专业监测网络,及时处理网络安全事件。网络安全与信息化中心要充分发挥专业监测的作用,进行定期和不定期的检查,加强对网络重点部位的监测和防范,必要时发布网络安全预警信息

按照紧急程度、发展态势和可能造成的危害程度,我省教育系统网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生的特别重大、重大、较大和一般网络安全事件。事件预警研判和发布参照《甘肃省教育系统网络安全事件应急预案》执行,学校按照预案做好预警响应工作。

第八条 处置流程

1.发现情况

学校二级学院及其他部门严格执行值班制度,做好校园网络信息系统安全的日常巡查及其日志保存工作。确保如果有网络安全事故发生,第一时间发现并向学校网络安全事件应急处置工作组汇报。

2.事件定级:网络安全与信息化中心和相关部门在网络安全事件发生后,立即切断问题设备与其它设备的网络连接并组织工作人员尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,弄清事件范围,评估事件带来的影响和损害,确认事件的类别和等级。

网络安全事件应急响应分为级、级、级、级等四级,分别对应教育系统特别重大、重大、较大和一般网络安全事件。I 级为最高响应级别。

3.应急响应

启动应急处置预案,根据事件等级采取相应的响应方式:

Ⅰ级立即上报甘肃省教育网络安全和信息化领导小组办公室,按照教育部网络安全应急办、省网络安全应急办的统一部署开展应急处置工作。全面掌握学院各级各类网络和信息系统受事件影响的程度,迅速控制事态防止蔓延,并随时向上级网络安全应急办上报事态发展变化情况和处置进展情况。

级立即启动立即上报甘肃省教育厅网信办,在工作组的统一领导、指挥、协调下组织人员开展应急处置。在启动应急处理预案的同时,全面做好事件调查、跟踪及事态控制。

Ⅲ级立即启动Ⅲ级响应,做好应急处置工作。同时,及时填写《教育系统网络安全事件情况报告》,逐级上报省教育厅网信办。

Ⅳ级立即启动Ⅳ级响应,做好应急处置工作。

具体处置办法如下

1)网络出口和核心交换机遭受损坏的有关人员立即到现场查明事故原因并尽快修复或启动备用设备和出口,同时及时通报有关情况。

2)光缆系统受到损坏的,立即组织人员修复,并视影响范围大小决定通报范围。

3)校园网服务器被攻占,立即停止该服务器对外发布信息,恢复正常的信息并查找攻击来源。

4)由于病毒或网络攻击造成网络瘫痪的,及时与上级有关部门和相关专业公司保持联系,针对具体情况拿出修复方案,恢复正常运行。

5)学校主要信息系统受到损害的,立即将有关服务器脱离网络,并查找损害原因,根据不同情况制定恢复办法。

6)对发现利用校园网发布、传播法律法规禁止信息及影响政治稳定的有害信息的,会同党委宣传部组织人员实行24小时网络监控,并开通网络监控电话,发现学校范围内的电子公告栏、留言板等交互栏目和网站、网页、个人主页上有发布、传播可能影响政治稳定的有害信息的,立即予以处置:保存信息证据,删除或隐藏相关信息,以最快速度缩小影响面,并通知相关管理部门或个人进行处理。情况严重的,立即关闭上述有关网络栏目或网站、主页,以待作进一步处理。

7对利用校园网传播不良信息、泄漏机密的,一旦发现,立即保存信息证据,删除或隐藏相关信息,消除影响,并对相关管理部门或个人进行批评教育,责令改正;情况严重的,按照有关网络信息管理的规定进行处理,直至追究有关责任人的法律责任。

8)对利用校园网从事非法网上聚集或其他非法活动的,本着“谁主管、谁负责”的原则,上述情况一经出现,立即关闭相应信息应用系统或网站,通知相关单位主要负责人,果断采取强制性措施,进行紧急处置,坚决予以制止。

9)对利用校园网电子邮件系统和其他途径发送危害国家安全、宣扬邪教和扰乱社会秩序的各种谣言的,及时掌握情况,并立即通过删除、隐藏、整理等办法处理信息;通过降低用户等级、封杀用户帐号、批评教育网络用户、隐藏相关版面乃至按照有关纪律处理相关用户等,及时消除可能导致不良后果的信息。

4.发布预警

网络安全事件发生时,可根据事件等级适当地发布预警,特别是一些在其它地方已经出现,或在安全相关网站发布了预警而学校信息网络还没有出现相应的网络安全事件,除在技术上进行防范以外,还应当向网络信息用户发布预警,直至事件警报解除。

5.预案终止

级响应终止以教育部网络安全应急办或省网络安全应急办部署为准

级响应终止以省教育厅网信办安排为准

Ⅲ级、Ⅳ级响应终止以学院网络安全事件应急处置工作组鉴定为准,并予以公告。

6.后续处理

1安全事件应急处置后,应及时采取措施,抑制其影响进一步扩大,限制潜在的损失与破坏,同时要确保应急处置措施对涉及的相关业务影响最小。

2安全事件被抑制后,通过对有关事件或行为的分析结果,找出问题根源,明确相应补救措施并彻底清除。

3安全事件解决后,要及时清理系统,恢复数据、程序、服务,恢复工作应避免出现误操作导致的数据丢失。

第九条 总结上报

特别重大网络安全事件和重大网络安全事件的总结上报由国家及省一级相关部门完成

较大网络安全事件在系统恢复运行后,由学校网络安全事件应急处置工作组对事件造成的损失、事件处理流程等开展调查及分析评估,总结经验教训,提出处理意见和改进措施,填报《教育系统网络安全事件整改报告》,将调查评估结果汇总逐级上报省教育厅网信办。

一般网络安全事件由学校网络安全事件应急处置工作组对事件造成的损失、事件处理流程等开展调查处理和总结评估。

网络安全事件的调查处理和总结评估工作在应急响应结束后 5 天内完成,应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施,处理结果上报上级主管部门,属于重大事件或存在非法犯罪行为的,还须第一时间向公安机关报案。

第四章 保障措施

网络安全处置是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,而不是随每次网络安全事件的发生而开始和结束的活动。因此,必须做好应急保障工作。

第十条 人员保障

重视人员的建设与保障,不断提高工作人员的网络安全防范意识和技术水平,确保安全事件应急处置科学得当。同时,建立我校网络安全专家咨询队伍,提高应急保障能力。

第十一条 技术保障

加强网络安全应急技术支撑队伍的建设和网络安全物资保障,加强技术防护,不断完善网络安全整体方案,在事件发生前确保网络信息系统的强劲与安全,事件处置过程中的相关技术支撑。

第十二条 经费保障

为确保网络安全应急技术支撑队伍建议、专家队伍建设、基础平台建设、监测通报、宣传教育培训、预案演练、物资保障等工作开展,网络安全与信息化中心应根据校园网安全防护和应急处置工作实际需要,提出用于安全的软硬件设备及运行维护经费预算,报计划财务处纳入年度经费预算,以专项经费列支。

第十三条 训练和演练

网络安全与信息化中心应定期组织相关部门和安全管理员网络安全知识培训,增强防范意识和应急处置能力。开展应急处置演练,确保相关措施的有效落实。

第五章 附 则

第十四条 本预案由网络安全与信息化中心负责解释。

第十五条 本预案自发布之日起施行。

第十六条 自本预案发布之日起,原《陇东学院校园网络应急处理预案》自行废止。


智慧陇院